Решения HP ArcSight осуществляют сбор, обработку, сопоставление и реагирование на такие события, предоставляя всеобъемлющие функции масштабируемости, защиты и отказоустойчивости. Системы HP ArcSight позволяет каждую минуту обрабатывать сотни тысяч событий информационной безопасности, чтобы автоматизировать решения по обеспечению постоянной ИБ в организации. Продукты HP ArcSight активно используются крупнейшими мировыми операторами связи, финансовыми организациями и государственными структурами.
Основой линейки HP ArcSight является комплекс
HP ArcSight Security Intelligence, а его ядром – HP ArcSight Enterprise Security Manager (ESM). Программа
HP ArcSight ESM служит для сбора, обработки и хранения событий ИБ, расположенных в разных источниках, интегрируется с разнообразными прикладными системами и устройствами (свыше 300) и содержит несколько сотен предварительно установленных правил корреляции. В поставку HP ArcSight ESM также может включаться агент FlexConnector для интеграции с приложениями любого типа. Будучи лидером рынка, HP ArcSight ESM легко развертывается в территориально распределенных организациях с низкоскоростным сетевым подключением. Решение поставляется как в программном, таки и в программно-аппаратном варианте.
Состав комплексного решения HP ArcSight Security Intelligence:
- HP ArcSight Logger (входит в поставку HP ArcSight Express и HP ArcSight ESM) – эффективное управление журналами аудита любого типа для решения задач любой степени сложности. Сбор, фильтрация, анализ и хранение больших объемов данных по событиям ИБ, которые генерируются в современных информационных системах. Может развертываться в программном и аппаратном виде.
- HP ArcSight Threat Response (входит в поставку HP ArcSight Express и HP ArcSight ESM) – мгновенное реагирование на инциденты ИБ путем анализа информации от HP ArcSight ESM, локализация проблем и применение ответных мер.
- HP ArcSight Configuration Management – определение конфигураций сетевого оборудования и настроек безопасности.
- HP ArcSight Fraud Detection (входит в поставку HP ArcSight ESM) – определение и предотвращение онлайн-мошенничества в трех связанных областях: неправомерное использование номера банковского счета, выявление транзакций и создание счетов. Отслеживание таких параметров, как время между созданием и использованием счета, IP-адрес компьютера и алгоритмы использования для определения вероятности неавторизованного доступа и перехвата данных счета.
HP ArcSight Express
Это программно-аппаратный комплекс, сходный по функционалу с HP ArcSight ESM и предназначенный для мониторинга событий информационной безопасности, обеспечения соответствия нормативным требованиям при рисках комплексных угроз ИБ. Реализованная в HP ArcSight Express технология Correlation Optimized Retention and Retrieval (CORR) Engine существенно усовершенствует корреляцию и хранение данных о событиях, помогая администраторам ИБ противостоять современным комплексным угрозам. С помощью ArcSight Express можно определять значение каждого события в контексте того, что, где, когда и почему стало его причиной, а также его влияние на бизнес-процессы. ArcSight Express содержит наиболее распространенные правила, уведомления и отчеты для мониторинга защиты периметра и сети, предварительно настроенные и готовые к использованию. Отличия HP ArcSight Express от HP ArcSight ESM:
- Отсутствие только программной реализации.
- Отсутствие возможности установки на сервер виртуализации.
- Модуль выявления поведенческих моделей и закономерностей Threat Detector входит в поставку, а не приобретается отдельно.
- Модуль контроля действий пользователей IdentityView входит в поставку, а не приобретается отдельно.
- Организация хранения данных при помощи файловой структуры под управлением CORRE Engine 3.0 (в HP ArcSight ESM – DB Oracle 11g).
- Отсутствие расширяемости хранилища для больших объемов данных и длительного хранения.
- Ограниченное количество контролируемых источников.
- Модуль Fraud Detection не входит в поставку.
- Отсутствие расширенных возможностей интеграции.
HP ArcSight IdentityView
Это решение на базе HP ArcSight ESM, предоставляющее полную картину об активности пользователей. HP ArcSight IdentityView сопоставляет сведения о пользователях, их ролях и группах, решениях по управлению персоналом и идентификацией, с фактическими журналами активности в пределах компании. Таким образом система обнаруживает потенциально опасные действия: кражу информации, несанкционированный доступ к конфиденциальным данным и т. д.
- Мониторинг привилегированных пользователей и привилегированных учетных записей.
- Мониторинг общих учетных записей.
- Определение доступа уволенного сотрудника/контрагента.
- Генерация отчетов по ролям.
- Сопоставление различных учетных записей.
- Идентификация пользователей по IP-адресам.
- Обнаружение нарушения разделения обязанностей.
- Интеграция с передовыми системами управления идентификацией.
Архитектура системы HP ArcSight ESM
HP ArcSight ESM работает следующим образом: «умные коннекторы» собирают данные о событиях их источников: системных журналов, текстовых журналов событий и т. д., а затем передают эту информацию напрямую ArcSight Manager или сначала в модуль ArcSight Logger. Компонент Logger журналирует полученную информацию и также отправляет ее в ArcSight Manager, где данные коррелируются в реальном времени. По результатам корреляции система либо предпринимает проактивное реагирование на обнаруженные события (Threat Response), либо отправляет итоговые данные в Logger для отчетности.
- ArcSight Manager – главный серверный компонент, ядро системы, которое обеспечивает корреляцию событий и их обработку.
- ArcSight DB – база данных на основе СУБД Oracle 11g, предназначенная для хранения информации о событиях.
- ArcSight Console – консоль управления системой и взаимодействия с ней. Является клиентским приложением, устанавливаемым на рабочее место администратора или пользователя.
- ArcSight Web – серверный компонент web-консоли для мониторинга и отчетности. Работае через любой современный web-браузер.
- ArcSight SmartConnectors – «умные коннекторы», отвечающие за сбор событий с источников, их предварительную фильтрацию и накопление, а также передачу в ArcSight Manager. Могут поставляться в виде программных и программно-аппаратных комплексов для решений ArcSight Logger и ArcSight ESM.